IPSec VPN mit Sophos

IPSec VPN mit Sophos

Als erstes die Einwahl einstellen auf der Sophos (Fernzugriff > IPSec > Neue Richtlinie erstellen):

Bildschirmfoto 2015-04-01 um 11.56.00

Danach den User in die entsprechende Gruppe einfügen und das User Zertifikat exportieren (Benutzer und Gruppen > Benutzer auswählen > Markieren > Aktionen > L2TP Zertifikate herunterladen – das Passwort gilt auch später für die Verbindung und auch die Konfigurationsdatei exportieren):

Bildschirmfoto 2015-04-01 um 11.59.24

Auf dem Client unter http://www.sophos.com/de-de/support/utm-downloads.aspx runterladen und installieren (danach Neustart).

Anschließend die Konfiguration importieren.

Danach die Standard-Zertifikatskonfiguration bearbeiten und das Zertifikat hinterlegen:

Bildschirmfoto 2015-04-01 um 12.04.56

Dann in der Profilkonfiguration das Zertifikat auswählen:

Bildschirmfoto 2015-04-01 um 11.52.23

 

 

 

 


AD Anmeldung per VPN

Die meisten VPN Clients werden erst nach der Anmeldung gestartet, somit ist ein Anmelden am AD nicht möglich, falls das Kennwort nicht gecached wurde.

Es gibt aber einige Clients die die Funktion „Pre-Login Connection Support for AD/Domain Logins“ bieten:


VPN mit UTM über Fritzbox

Als erstes muss die Fritzbox folgende Weiterleitungen bekommen:

  • Exposed Host -> Interne IP UTM
  • ESP -> Interne IP UTM
  • ISAKMP (UDP 500) -> Interne IP UTM
  • NAT Traversal (UDP 4500) -> Internet IP UTM

Danach müssen die Remotegateway eingerichtet werden. Dabei darauf achten, das bei der UTM OHNE Fritzbox bei der VPN ID die NAT IP des UTM Netzes eingestellt ist:

Bildschirmfoto 2014-12-08 um 15.00.57

Danach nur noch den Tunnel einrichten wie gehabt:

Bildschirmfoto 2014-12-08 um 15.02.06

Nun auf der Seite MIT der Fritzbox ebenfalls das Remotegateway einrichten, jedoch mit der VPN ID vom Ziel (öffentliche Adresse):

Bildschirmfoto 2014-12-08 um 15.06.45

Sowie den Tunnel selber:

Bildschirmfoto 2014-12-08 um 15.07.00

 

P.s.: Sollte auf dem anderen Netz auch eine Fritzbox sein, so muss natürlich nicht die externe IP in die VPN ID, sondern die NAT IP vom externen Interface der entfernten UTM.


Alternative zu Sophos: IPFire

Schicke Firewall als Open Source Lösung:

  • Webbasiert.
  • Aktueller Kernel, aktuelle Hardwareunterstützung.
  • IPSec VPN
  • SSL VPN
  • WLAN Support

Optional auch mit kommerziellen Support.

http://www.ipfire.org